Вопрос VMP DLL, узнать тру OEP

Начинающий
Статус
Оффлайн
Регистрация
22 Апр 2021
Сообщения
31
Реакции[?]
1
Поинты[?]
1K
Привет, мне надо восстановить IAT и сдампить дллку, но Сцилла выдает неправильный OEP из-за VMP, подскажите скрипт или что-то вроде. Мне надо будет отдельно от процесса игры отлаживать DLL или саму игру?
 
Забаненный
Статус
Оффлайн
Регистрация
20 Июн 2021
Сообщения
104
Реакции[?]
41
Поинты[?]
0
Обратите внимание, пользователь заблокирован на форуме. Не рекомендуется проводить сделки.
Привет, мне надо восстановить IAT и сдампить дллку, но Сцилла выдает неправильный OEP из-за VMP, подскажите скрипт или что-то вроде. Мне надо будет отдельно от процесса игры отлаживать DLL или саму игру?
Фиксить вмп гиблое дело, тем более длл. Поэтому не вижу смысла этого делать.
 
Начинающий
Статус
Оффлайн
Регистрация
22 Апр 2021
Сообщения
31
Реакции[?]
1
Поинты[?]
1K
IRQL_APC_LEVEL
Пользователь
Статус
Оффлайн
Регистрация
25 Авг 2018
Сообщения
211
Реакции[?]
88
Поинты[?]
3K
Все зависит от версии вмп (2.4-2.8 девиртятся тулзами). Так такого OEP там нету, ибо эт виртуалка. Также многое зависит от того как именно виртился код, если полностью - то девиртить придется, если кусочно - то можно часть логики восстановить. Крч, эт дело нудное.
 
Начинающий
Статус
Оффлайн
Регистрация
22 Апр 2021
Сообщения
31
Реакции[?]
1
Поинты[?]
1K
Все зависит от версии вмп (2.4-2.8 девиртятся тулзами). Так такого OEP там нету, ибо эт виртуалка. Также многое зависит от того как именно виртился код, если полностью - то девиртить придется, если кусочно - то можно часть логики восстановить. Крч, эт дело нудное.
2.X если верить die
 
Murasaki
Разработчик
Статус
Онлайн
Регистрация
18 Мар 2020
Сообщения
431
Реакции[?]
870
Поинты[?]
206K
Найди самую первую функцию, которая вызывается после ЕР, таковой является __security_init_cookie , если он не виртуализирован, то можешь составить паттерн в чистой программе и потом использовать в накрытой. Это как один из вариантов
 
Keine panik!
Эксперт
Статус
Оффлайн
Регистрация
29 Апр 2020
Сообщения
812
Реакции[?]
417
Поинты[?]
49K
неправильный OEP из-за VMP
Вмп вместо точки входа вставляет свой код, который виртуализирован, и затем вызвает OEP.
Но если OEP при этом тоже виртуализирована, то все вместе выполнится на одной и той же вм, прямо без выхода из нее.
Т.е. в таком случае найти ее будет невозможно без девиртуализации, потому что она будет адресом примитива с указателем ленты пикода в определенном месте.
Самый простой вариант потрассировать и посмотреть самый первый код который без защиты (например точка входа вызывает другие функции, которые кодер мог забыть защитить), это будет не совсем OEP, но чтобы закинуть в иду хватит.
 
Сверху Снизу